我接管了一個插件的開發人員,他們幾乎已經通過ajax獲得了前端JavaScript到後端query_posts
的1:1映射。在發佈到query_posts之前,我是否需要清理用戶輸入?
在這裏安全還是我需要逃避一切/某些領域?
編輯:我問的原因是parse_query
已經包含了一堆消毒。我可以在我的插件中創建該代碼的完整副本,但這看起來有點愚蠢/毫無意義?和http://codex.wordpress.org/Function_Reference/query_posts文檔不提供有關消毒輸入
乾杯
清理所有用戶輸入,期限... – David
我很抱歉地說,但如果你問這個問題,你不應該接管插件的開發:-)。開玩笑 - 像@大衛提到的 - 你應該永遠消毒,並且消毒很多,並儘早消毒。你能列出一些排除「〜惰性〜」和「〜我相信什麼都不會發生〜」這樣的因素來消毒的'缺點'嗎?只是爲了個人利益 - 我會有興趣知道那些「cons」以供將來參考。誰知道 - 也許你是對的,我可以知道爲什麼不消毒。 –
@ObmerkKronen我問的原因是'parse_query'包含了一系列的消毒。我可以在我的插件中創建該代碼的完整副本,但這看起來有點愚蠢/毫無意義?和https://codex.wordpress.org/Function_Reference/query_posts文檔沒有提及任何有關提供清理輸入的內容。 – dtbaker